“VITA DA PRIVACYISTA” PUNTATA 24 – 1 ESPERTO/A ALLA SETTIMANA, 20 DOMANDE FUORI DAGLI SCHEMI

“VITA DA PRIVACYISTA” – Ventiquattresima puntata – 1 esperto/a alla settimana, 20 domande fuori dagli schemi

A cura di Luca Bolognini

La rubrica-intervista che raccoglie idee originali dai migliori esperti di privacy e diritto dei dati in Italia e all’estero. L’esperto di questa settimana è…

  1. Nome, cognome, ruolo oggettivo e ruolo “putativo/desiderato”

Giovanni Maria Riccio, professore ordinario di diritto privato comparato, fondatore e socio dello Studio Legale E-Lex. Per il resto, sono allergico ai ruoli e ai titoli. I titoli servono a chi non ha contenuti. Sono cresciuto con mio nonno, che era un uomo molto mite e riservato: quando fu insignito con un importante titolo, tornò a casa senza dirlo a nessuno. Lo scoprimmo dopo la sua morte, trovando la pergamena in un cassetto. Ecco, non sempre riesco a seguire il suo esempio, ma credo sia un modello da imitare.

  1. Perché e quando iniziasti a occuparti di privacy e protezione dei dati personali?

Mi sono laureato nel 1998 con l’attuale presidente dell’Autorità Garante, il prof. Pasquale Stanzione, che poi divenne il mio “maestro” accademico e a cui mi lega un affetto profondissimo. Io volevo una tesi sul diritto d’autore (altra mia grande passione), lui mi indirizzò su qualcosa di più privatistico e mi assegnò una tesi (modernissima, a pensarci) sulle informazioni, anche personali, nella teoria dei beni giuridici.

  1. Cosa ti annoia della privacy/data protection?

Non so se annoiare sia il verbo esatto, ma credo che ci sia uno scollamento dai valori e dagli interessi che si vogliono tutelare. Vorrei un po’ meno forma e un po’ più sostanza e mi piacerebbe incontrare maggiore flessibilità: il diritto è un’operazione di ingegneria sociale, non esiste il bianco o il nero, ma mille sfumature intermedie. Se fosse vero il contrario, non servirebbero neanche gli avvocati e i consulenti.

  1. Gli anglicismi sono inevitabili per chi si occupa di questa materia (come il latinorum per altri ambiti), o ci stiamo sbagliando?

Mi irrita molto la sciatteria nel lessico. L’italiano è una lingua ricca, spesso il ricorso ad inutili anglicismi impoverisce solo il dibattito: oramai si “implementa” tutto, non si adotta nulla, solo per fare un esempio.

  1. Pensi che la privacy stia a cuore della gente? È davvero “pop” o non interessa niente?

Credo che, nel corso di un venticinquennio, abbiamo assistito a una modifica radicale anche sul piano sociale. Sicuramente c’è molta più consapevolezza rispetto al passato, una maggiore attenzione che, però, talora scade, mi sia consentita questa espressione, nel terrorismo informativo. Questo è forse un elemento su cui riflettere: come fare informazione e accrescere la capacità di scelta dell’interessato senza criminalizzare le imprese e i modelli di circolazione dei dati.

  1. Come gliela spieghi, questa disciplina, ai bambini delle elementari?

Con il libro di Michela Massimi e Guido Scorza? Per i più giovani, ma non solo, il discorso dovrebbe essere affrontato su due piani diversi: da un lato, ancora una volta, prendere coscienza di cosa significhi cedere e, talora, regalare i propri dati per ottenere servizi inutili; dall’altro lato, ma è profilo che riguarda più l’intimità che la protezione dei dati, spiegare che esistono delle sfere in cui il pubblico non dovrebbe entrare. Mi piacerebbe molto anche che vi fosse un recupero della dimensione collettiva, che si abbandonasse l’individualismo. Però, avendo una figlia di 15 anni, devo riconoscere che lei e i suoi amici sono messi molto meglio di tanti nostri coetanei nel coinvolgere gli altri e non mantenere separata una sfera pubblica e una privata.

  1. L’ora, secondo te, più buia per la privacy in Europa negli ultimi 10 anni?

Sicuramente le decisioni Schrems della Corte di Giustizia sul trasferimento dei dati. L’approccio euro-centrico non porta lontano; pur consapevole dell’obiettivo reale di tale scelta (riprendere il controllo del mercato europeo sottraendolo all’egemonia delle big tech americane) da comparatista, mi permetto di ricordare che serve conoscere la storia e la cultura giuridica degli altri Stati per compenetrarsi nelle scelte in materia di protezione dei dati. Gli Stati Uniti hanno adottato normative che non frenassero l’espansione delle big tech, in una prospettiva tipicamente neo-liberista; al tempo stesso, hanno fatto ricorso alla bulk collection of data, al controllo ossessivo post 11 settembre, il più grande attacco subito sul proprio territorio. Se non consideriamo i profili storici, economici, sociali e ci limitiamo a fare i “ragionieri” della privacy, non andiamo lontano. Le leggi non sono dogmi, solo strumenti di selezione di interessi tutelabili: dovremmo sforzarci di capire perché altri fanno scelte differenti dalle nostre per modulare correttamente la selezione che oggi si è chiamati nuovamente a varare. Ovviamente, quanto detto per gli Stati Uniti vale per qualsiasi ordinamento giuridico terzo: Cina, Russia, e così via enumerando. Per altri versi, e per il suo ruolo di guida culturale, la scomparsa di Stefano Rodotà.

  1. L’ora, secondo te, più luminosa per la privacy in Europa negli ultimi 10 anni?

Probabilmente, il 25 maggio 2018.

  1. I consulenti, i DPO e i privacy officer stanno diventando decine di migliaia. Un male o un bene?

Un bene, dove c’è confronto, c’è crescita. Attenzione, però, come dicevo, alle trappole del formalismo.

  1. I dati personali sono monete?

No, assolutamente. Però non mi piace l’approccio demonizzante adottato, ad esempio, dall’AGCM e dalla giurisprudenza amministrativa. Se ogni trattamento è patrimonializzazione, allora si svilisce il senso della normativa sul trattamento dei dati.

  1. Quando leggi notizie di dure sanzioni alle imprese, esulti o ti preoccupi?

Nessuna delle due. Forse dovremmo abbandonare la logica del gatto e del topo: il collegio del Garante mi sembra che stia lavorando molto bene anche in termini di cooperazione con le imprese, piuttosto che di repressione. Non va assolutamente dimenticato che le autorità garanti hanno un ruolo regolatorio del mercato che va tutelato in una prospettiva duplice, avendo riguardo sia all’interessato ma anche alle imprese.

  1. Con sincerità e senza retorica: credi che il “consenso preventivo dell’interessato” sia ancora una buona idea nel “tutto digitale”?

Il consenso va abbandonato, nel momento in cui non serve a riequilibrare le asimmetrie informative tra titolare e soggetto interessato. Vedi quante cose si potrebbero studiare, anziché perdere tempo a fare i “ragionieri” della privacy? Senza alcuna spocchia nei confronti di questa categoria, intendo dire che, talora, registro una fredda applicazione delle norme  del GDPR, che si traducono sempre più in processi e protocolli, irrigidendo le analisi che invece si impongono proprio alla luce delle categorie generali del diritto tanto care anche alla nostra tradizione giuridica. Si potrebbe, per esempio, riprendere le vecchie idee dell’analisi economica del diritto sulle regole di responsabilità e vedere quanto possano funzionare nel contesto digitale.

  1. Con sincerità e senza retorica: è davvero possibile sintetizzare e rendere semplici i tanti contenuti obbligatori di un’informativa privacy?

Mi sembra che ci sia una certa schizofrenia al riguardo. Da un lato, giustamente, si spinge sull’utilizzo di icone e di strumenti di semplificazione; dall’altro, come nelle decisioni AGCM sulla patrimonializzazione, si creano degli obblighi informativi neanche presenti a livello legislativo. Confesso, da consulente, che è qualcosa che crea molta confusione.

  1. Leggi sempre le informative privacy e le cookie policy sui siti e sulle app che utilizzi personalmente?

Sì, deformazione professionale. Magari non nel dettaglio, ma una sbirciatina sempre.

  1. DPO più top manager o più mini-garante?

Nessuna delle due. È scontato, ma in questo lavoro è fondamentale l’obiettività, anche nel suggerire le strade, e le eventuali alternative, da percorrere.

  1. Un tuo consiglio di metodo a un giovane DPO.

Avere una buona formazione di base. Qualche mese fa, mi ha scritto una mia ex studentessa: “Professore, vorrei fare l’avvocato della privacy (scritto così, n.d.r.), mi consiglia qualche libro?”. Le ho detto di partire dal trattato di Bianca, dal manuale di Gazzoni e altri volumi analoghi. Se non conosci le regole sul contratto, non capisci neanche cosa sia un atto di nomina.

  1. L’Unione Europea fa troppe regole e frena l’innovazione: vero o falso?

L’Unione europea dovrebbe limitare l’uso della soft-law. Servono regole chiare, soprattutto se le sanzioni sono elevate. Sia chiaro: le normative su dati personali, intelligenza artificiale, piattaforme informatiche sono pensate per tutelare i cittadini, ma anche per dare certezza alle imprese. Sul “numero” delle regole, sul dilemma troppe/poche: domanda difficile, che però mi fa tornare in mente quanto scrivevano in tanti (ad esempio Michel Vivant o Natalino Irti) negli anni Ottanta. Il diritto non deve rincorrere la tecnologia, perché resterà sempre indietro. Il diritto deve scegliere quali interessi vuole perseguire, essere flessibile anche per il futuro: rileggete la nostra Costituzione, guardate quanto ancora è attuale.

  1. Il GDPR è al passo con l’Intelligenza Artificiale e il Metaverso?

Probabilmente, no. Però, nuovamente, attenzione alla panregolamentazione.

  1. Tra dieci anni: protezione dei dati o protezione degli effetti personali?

Perché l’una dovrebbe escludere l’altra?

  1. Puoi consigliare un libro, che non sia “L’Arte della Privacy”, ai tuoi colleghi e collaboratori. Quale e perché?

Consiglierei ai giovani di dedicarsi a volumi che spieghino l’essenza della tutela dei dati personali, più che i tecnicismi. Tra i classici “Privacy and Freedom” di Westin, magari integrandolo con un articolo di Bert-Jaap Koops di qualche anno fa “A Typology of Privacy”, che riprende proprio le categorie di Westin. Tra i libri recenti, ho apprezzato molto “Why Privacy Matters” di Neil Richards e alcuni dei saggi di “The Handbook of Privacy Studies” curato da Aviva de Groot e Bart van der Sloot per il loro approccio multidisciplinare. Poi, seppur scontato, qualsiasi cosa, non necessariamente in materia di protezione dei dati, scritta da Stefano Rodotà. Per quanto riguarda i libri più “tecnici”, ce ne sono davvero tantissimi e molti sono davvero validi: ne dimenticherei qualcuno e farei torto a qualche collega e amico. Un punto di partenza potrebbe essere il Commentario che ho curato con Guido Scorza ed Ernesto Belisario, la cui seconda edizione è uscita da qualche giorno: lì trovate una accuratissima e aggiornatissima bibliografia.